我有下一个配置
-
一些基于Dynamics CRM 2013的Web应用程序和基于SharePoint 2010的门户 .
-
Dynamics通过ADFS 3.0声明身份验证,SharePoint通过ADFS 2.0进行身份验证
-
ADFS 3.0与ADFS 2.0联合,后者是声明提供者信任 . 因此ADFS 2.0的用户可以在任何地方登录 . 两个ADFS都配置为使用WS-Federation,而不是SAML .
-
ADFS 2.0有几个声明提供商信任--AD和其他第三方ADFS .
-
ADFS 3.0配置为自动进行主域发现,但当用户登陆ADFS 2.0时,他可以在那里看到主域发现页面 .
目标是拥有最大程度的自动化家庭领域发现 .
主要问题:是否可以配置/修改/破解ADFS 3.0,以便在重定向到ADFS 2.0时将 whr
参数包含在所需的声明提供程序信任中?
我做了调试,fiddler手动注入它,这种方法正在运行 . 然而,在网上搜索操作方法,没有运气 .
目前我看到几个解决方案:
-
在ADFS 3.0设置中将
?whr="<ClaimsProviderId>"
添加到WS-Federation endpoints ,如https://<ADFS2.0URL>/adfs/ls?whr="<ClaimsProviderId>"
. 但不确定是否有效 . -
修改
onload.js
以在ADFS 3.0端使用whr
参数进行硬编码重定向 . -
在ADFS 2.0端执行家庭领域发现页面的mod,它将分析ADFS 3.0中的
wtrealm
参数并选择所需的声明提供程序 .
你还有其他建议吗?
1 回答
如果可能的话,ADFS3服务器本身很难 .
您是否尝试在RP(CRM和SharePoint)中添加它?这应该工作 . 除非有一些补丁级别可解决的问题 .
如果来自CRM的所有用户都必须转到相同的CP,那么您的选项为“3” . 也应该工作 .